對(duì)電信運(yùn)營(yíng)商而言,高度信息化是企業(yè)一切業(yè)務(wù)、管理和運(yùn)營(yíng)活動(dòng)的基礎(chǔ)之一。國(guó)家出臺(tái)了很多信息安全的法律法規(guī),信息產(chǎn)業(yè)部已將安全與業(yè)務(wù)準(zhǔn)入掛鉤,隨著此項(xiàng)工作的深化,對(duì)電信運(yùn)營(yíng)商的要求會(huì)越來(lái)越高。與此同時(shí),海外政府、資本市場(chǎng)提出的新監(jiān)管要求(如:薩班斯-SOX法案)的強(qiáng)制執(zhí)行都要求運(yùn)營(yíng)商進(jìn)一步遵守安全內(nèi)控要求。
放眼電信市場(chǎng),各大運(yùn)營(yíng)商的“轉(zhuǎn)型”都在尋找新的藍(lán)海,IT與電信迅速融為一體成為ICT,而IT為傳統(tǒng)通信產(chǎn)業(yè)注入無(wú)限活力的同時(shí),也引發(fā)了大量安全問(wèn)題,能否解決這些安全問(wèn)題,成為運(yùn)營(yíng)商與競(jìng)爭(zhēng)對(duì)手拉開(kāi)差距的關(guān)鍵,并已成為新的業(yè)務(wù)增長(zhǎng)點(diǎn)。在此背景下,各大運(yùn)營(yíng)商需要建立完善的信息安全管理體系(ISMS),通過(guò)國(guó)際權(quán)威機(jī)構(gòu)的安全認(rèn)證,并不斷鞏固完善,旨在贏得國(guó)內(nèi)外客戶(hù)的信任與國(guó)際資本市場(chǎng)的青睞,為企業(yè)的持續(xù)健康發(fā)展保駕護(hù)航。
相關(guān)國(guó)際標(biāo)準(zhǔn)與法案
作為建立信息安全管理體系(ISMS)的重要規(guī)范,BS7799標(biāo)準(zhǔn)被ISO組織采納后,衍生為ISO 17799《信息安全管理實(shí)施細(xì)則》和ISO 27001《信息安全管理體系規(guī)范》。ISO 17799是建立并實(shí)施信息安全管理體系的指導(dǎo)性標(biāo)準(zhǔn),ISO 27001是對(duì)信息安全管理體系進(jìn)行審核的依據(jù)性標(biāo)準(zhǔn)。獲得ISO 27001認(rèn)證是企業(yè)擁有完善的信息安全管理體系的象征。
ISO 27001標(biāo)準(zhǔn)詳細(xì)說(shuō)明了建立、實(shí)施和維護(hù)信息安全管理體系的要求,指出實(shí)施機(jī)構(gòu)應(yīng)該遵循的風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn),其核心是PDCA(Plan-Do-Check-Act)模型。
薩班斯(SOX)法案是另一部更加具有國(guó)際性影響的規(guī)章,始創(chuàng)于 2002 年,由美國(guó)
證券交易委員會(huì)(SEC)提交,是一部旨在消除企業(yè)財(cái)務(wù)欺詐行為和弊端的歷史性法案,它要求在美國(guó)上市的所有企業(yè)必須通過(guò)該法案審核。
SOX法案中以404條款影響最大,該條款規(guī)定:公司管理層要對(duì)公司內(nèi)控及財(cái)務(wù)會(huì)計(jì)報(bào)表的制定和編制的有效性、真實(shí)性負(fù)責(zé),公司必須聘請(qǐng)外部
審計(jì)師對(duì)公司內(nèi)控和財(cái)務(wù)報(bào)表進(jìn)行獨(dú)立審計(jì)并出具審計(jì)結(jié)果。
SOX法案的核心要求是規(guī)避風(fēng)險(xiǎn)、完善內(nèi)部控制。由于現(xiàn)代企業(yè)的運(yùn)作越來(lái)越依賴(lài)于IT系統(tǒng),以致于IT控制成為企業(yè)內(nèi)部控制的重要組成部分。SOX法案中重點(diǎn)要求 CEO 和 CFO 必須證明其公司擁有適當(dāng)?shù)膬?nèi)部控制,如果維護(hù)財(cái)務(wù)數(shù)據(jù)的系統(tǒng)是不安全的,則高層管理人員很難擔(dān)保數(shù)據(jù)的有效性,也很難擔(dān)保其內(nèi)部控制的可靠性,因此,內(nèi)部控制已擴(kuò)展至法律需求的范疇。
ISO 17799/27001與定義信息治理進(jìn)程的COBIT標(biāo)準(zhǔn)和COSO框架共同健全了薩班斯法案中與安全和內(nèi)控審計(jì)相關(guān)的404條款。
啟明星辰安全認(rèn)證、咨詢(xún)服務(wù)解決方案
啟明星辰公司積極參照ISO 17799/27001和COBIT為客戶(hù)提供安全認(rèn)證、咨詢(xún)服務(wù),最終達(dá)到符合SOX法案的要求。同時(shí)我們也意識(shí)到,安全認(rèn)證的真正目的不僅僅是為了獲得證書(shū),更重要的是建立切實(shí)的網(wǎng)絡(luò)和業(yè)務(wù)安全體系,幫助運(yùn)營(yíng)商爭(zhēng)取更多的用戶(hù),特別是高端的國(guó)際型用戶(hù)與投資,在此基礎(chǔ)上,將SOX內(nèi)控審計(jì)落實(shí)到具體的運(yùn)營(yíng)工作中、塑造卓越的運(yùn)維隊(duì)伍、驅(qū)動(dòng)更大的經(jīng)濟(jì)效益。
應(yīng)該看到,安全管理具有宏觀、中觀和微觀三重層次,ISO 27001在宏觀安全管理體系規(guī)劃方面有很好的定義,但中觀調(diào)整、特別是微觀實(shí)現(xiàn)方面實(shí)際上是留待各實(shí)施機(jī)構(gòu)根據(jù)各自情況自行解決,換句話(huà)說(shuō),ISO 27001偏重從宏觀角度提供理論指導(dǎo)。執(zhí)行ISO 27001、符合ISO 27001,必須結(jié)合運(yùn)營(yíng)商的主業(yè)、從中觀和微觀角度加以落實(shí)。
啟明星辰公司為運(yùn)營(yíng)商提供立體的ISO 27001防御體系,涉及宏觀規(guī)劃和監(jiān)控、中觀整合加固、微觀技術(shù)實(shí)現(xiàn),每個(gè)層面上又縱深提供評(píng)估服務(wù)、應(yīng)急服務(wù)、技術(shù)培訓(xùn)和技術(shù)支撐,真正做到將ISO 27001認(rèn)證落實(shí)到安全運(yùn)維人員每天可執(zhí)行的技術(shù)、工具、平臺(tái)、流程、規(guī)章等各個(gè)層次。
收益
啟明星辰公司承諾所提供的安全認(rèn)證、咨詢(xún)服務(wù)針對(duì)運(yùn)營(yíng)商的不同系統(tǒng)量體裁衣,協(xié)助運(yùn)營(yíng)商除獲得認(rèn)證證書(shū)之外,落實(shí)并鞏固安全認(rèn)證成果,包括:
制定切實(shí)可操作的安全規(guī)范與安全策略;
實(shí)施網(wǎng)絡(luò)安全優(yōu)化方案;
對(duì)系統(tǒng)進(jìn)行深層次的安全評(píng)估并提交安全加固建議;
提供電信級(jí)應(yīng)急響應(yīng)服務(wù);
提供專(zhuān)業(yè)的安全管理和安全技術(shù)培訓(xùn);
實(shí)施全面的安全監(jiān)控。
閱讀關(guān)于 安全 啟明星辰 的全部文章